英特爾將為新社區提供英特爾® SGX SDK,以説明簡化安全區域的開發和部署。
資訊與基礎設施安全領域的領導善於利用各種方法保護靜態資料或傳輸中的資料,但對於記憶體中正在處理的資料需另當別論。不管是在內部伺服器、邊緣部署還是雲服務提供者的資料中心內運行,這種“使用中”的資料大多是未加密的,並且很容易受攻擊。
英特爾致力於説明客戶和更廣泛的生態系統保護資料,這是我們和其它業內領導廠商一起在 Linux 基金會下成立新的保密計算聯盟的原因。我們很榮幸能夠成為這個新行業組織的創始成員,並致力於讓諸如保護使用中的資料等保密計算實踐在如今的多雲世界中更容易普及。
保密計算保護使用中的資料
保密計算可能採取多種形式,但早期使用場景依賴於可信執行環境(TEE),也被稱作可信安全區,其中的資料和操作被隔離並受到保護,不受作業系統、雲服務堆疊等其他軟體的影響。結合加密資料存儲和傳輸方法後,TEE 可以為最敏感的資料創造一個端到端的保護架構。
企業和雲服務提供者可以把保密計算用於廣泛的工作負載。最流行的早期使用場景是把可信安全區用於金鑰保護和加密操作。但可信安全區可用於保護任何類型的高度敏感性資訊。例如在醫療分析中,安全區可以保護任何可能包含個人身份資訊的資料,從而讓分析結果保持匿名。
如果希望在公有雲中運行應用程式但不希望其它軟體或雲服務提供者看到其最寶貴的軟體智慧財產權,企業可以在安全區內運行自己的專有演算法。互不信任的多方可以通過使用安全區進行共用交易,同時可以保護自己的保密或專有資料不被其他方看到。只要是使用敏感性資料,就有機會通過保密計算來更好地保護它。
英特爾® SGX——驅動保密計算的硬體引擎
保密計算聯盟最初專注於通用程式設計模型和安全區移植,但聯盟沒有規定創建和保護安全區所必要的硬體機制。這就是英特爾® 軟體保護擴展(英特爾® SGX)可以發揮作用的地方。
英特爾® SGX 是基於硬體的技術,通過在記憶體中建立受保護的安全區而説明保護使用中的資料,使得只有授權的應用代碼可以訪問敏感性資料。和讓資料可以通過作業系統和雲堆疊而受到攻擊的全記憶體加密技術不同,英特爾® SGX 讓特定應用程式創建自己的受保護安全區,其具有與硬體的直接介面,限制訪問並把對該伺服器上的應用程式和任何其它虛擬機器或租戶的總體性能影響降至最低。
英特爾® SGX 在應用程式層面為使用中的資料提供硬體加密,實現最小的攻擊面。英特爾® SGX 目前已經用於英特爾® 至強® 處理器 E-2100 系列,並被用於Microsoft Azure*、IBM Cloud Data Guard*、百度*、阿裡雲* 和 Equinix* 的保密計算服務。今年晚些時候,我們將發佈一款 PCI-Express 插卡,以在多插槽英特爾® 至強®可擴展伺服器中運行英特爾® SGX。英特爾® SGX 將持續用於未來幾代主流至強平臺。
在今天宣佈成立保密計算聯盟的同時,我很高興地宣佈把英特爾® SGX SDK 貢獻給這個新的社區,以説明簡化安全區域的開發和部署。
在把這個強大的安全功能帶給更廣泛受眾的過程中,保密計算聯盟的成立是重要一步。我們致力於攜手生態系統使用者,為開發者和 IT 專業人士簡化保密計算的使用和可攜性。歡迎開發者立即開始更詳細地瞭解如何把英特爾® SGX 整合到自己的應用程式和雲服務中,並在官方網站瞭解聯盟的未來發展情況。我要聯絡